Nachrichten
Artikel
Mitmachen
Shop
Kontakt
Sprache
 
Neu von MSI

Amazon wird von Betrügern überrannt

Autor: doelf - veröffentlicht am 17.10.2016
s.3/3
weiternext

Ein glücklicher Umstand: Live beim Hack dabei

Rein zufällig stießen wir am 13. Oktober 2016 gegen 17:20 Uhr auf eine Aktiengesellschaft aus Österreich, die ihre eigenen Waren auch über Amazons Marketplace anbietet. Während unseres Besuches im Shop dieser Firma, wurde das gesamte Sortiment auf Elektronikartikel umgestellt und abermals wurden alle Produkte zu lächerlichen Dumping-Preisen angeboten. Zeitgleich änderte der Shop seinen Namen in "???B.ITTE K.ONTAKTIEREN Sie mich vor K.auf ??? info[á?]mail185.com???". Das betroffene Unternehmen ist nicht gerade klein und kann eine große Zahl positiver Bewertungen vorweisen - für seine eigenen Artikel, nicht für Elektrowaren. Wir haben unverzüglich das eCommerce-Team der Firma kontaktiert und dieses konnte den gehackten Amazon-Shop binnen kurzer Zeit wiederherstellen.
Aber es kommt noch besser: Die betroffene Firma konnte die Quelle und Vorgangsweise des Angreifers sehr detailliert nachvollziehen und erfolgreich Gegenmaßnahmen ergreifen. Das Unternehmen, welches namentlich nicht genannt werden will, hat uns die entsprechenden Informationen zukommen lassen. In diesem Fall handelte es sich offenbar um einen klassischen Phishing-Angriff.

Phishing per Kundenanfrage

Sowohl als Kunde als auch als Gewerbetreibender erhält man gelegentlich E-Mails von "Amazon Answers" (answers@amazon.com), in denen man gebeten wird, die Frage eines Kunden zu beantworten. Kunden erhalten solche Anfragen, wenn es um ein Produkt geht, das sie selbst gekauft haben. Gewerbetreibende werden angeschrieben, wenn sie dieses Produkt verkaufen. Für Kundendienstmitarbeiter wird es schnell zur Routine, solche Fragen in der tagtäglichen Arbeit mit Amazon zu beantworten und oft geschieht dies zwischen Tür und Angel. Dass dabei oft nicht so genau hingesehen wird, machen sich die Kriminellen bei ihrem Angriff zu Nutze.
Die Hacker verschicken Phishing-E-Mails mit dem Absender "Amazon Answers" und bitten um die Beantwortung einer Kundenfrage. Klickt man auf die in der E-Mail enthaltenen Links, führen diese aber nicht zu http://sellercentral.amazon.de, sondern auf einen von den Kriminellen kontrollierten Server. Im Falle des österreichischen Unternehmens beginnt die Domain zwar mit "sellercentral.amazon.de", so dass bei einem flüchtigen Blick kein Verdacht entsteht, doch dann folgt eine dreißigstellige Kombination aus Zahlen und Buchstaben und danach die wahre Domain "rusticrescues.com". Die WHOIS-Abfrage für rusticrescues.com führt ins Leere, da für diese Domain ein Privatsphärenschutz aktiviert wurde.

Der Shop wird übernommen

Auf dem fremden Server liegt, zumindest optisch, eine 1-zu-1-Kopie von sellercentral.amazon.de und bittet um eine Anmeldung. Ein Kundendienstmitarbeiter der Firma gab dort um 10:30 Uhr die Zugangsdaten ein und beantwortete eine angebliche Kundenfrage. Damit hatten die Angreifer den Schlüssel zum Shop, sie warteten aber bis 17:15 Uhr und damit auf das Ende der typischen Geschäftszeiten in Mitteleuropa. Dann meldeten sie sich im Verkäuferkonto an und stellten eine eigene Liste mit Elektronikartikeln zu auffälligen Dumpingpreisen ein. Zeitgleich wurde der Name des Shops in "???B.ITTE K.ONTAKTIEREN Sie mich vor K.auf ??? info[á?]mail185.com???" abgeändert.
Um eine Kontaktaufnahme mit dem eigentlichen Betreiber zu erschweren, wurde die E-Mail-Adresse gegen eine ungültige getauscht und die Anschrift der in Österreich beheimateten Aktiengesellschaft in eine deutsche Adresse abgeändert. Sowohl E-Mail-Adresse als auch die neue Anschrift erweckten dabei den Eindruck einer offiziellen Niederlassung und erschienen auf den ersten Blick schlüssig. In Kontrast zu den plumpen "W.are nur g:egen M-ail"-Aufrufen war dieser Teil des Vorgehens überraschend subtil. Die manipulierte E-Mail-Adresse stellte zudem sicher, dass die Anfragen geneppter Käufer nicht zum eigentlichen Shop-Betreiber gelangten. Diese waren lediglich im Sellercentral einsehbar.

Wir kontaktierten das Opfer

Da wir die Übernahme live beobachten konnten, suchten wir im Internet nach der verantwortlichen Betreiberfirma und kontaktierten diese unverzüglich per E-Mail. Diese reagierte prompt und änderte zunächst das Passwort des Shops. Im Anschluss wurden die von den Kriminellen eingestellten Produkte gelöscht und die dafür eingegangenen Bestellungen storniert. Inzwischen hatte auch Amazon bemerkt, dass hier etwas nicht stimmt und das Konto deaktiviert. Es dauerte bis 19:30 Uhr, bis Amazon den Shop wieder freigegeben hatte und der Betreiber fünfzehn zwischenzeitlich eingegangene Kundenanfragen beantworten konnte.
Aus früheren Fällen wissen wir, dass sich die Betrüger zuweilen auf Kundenanfragen melden und dann wieder auf die Bestellung per E-Mail verweisen. In anderen Fällen wurden die Anfragen schlicht und einfach ignoriert - möglicherweise hatten die Kriminellen den Zugriff auf den Shop zwischenzeitlich verloren und der echte Betreiber wollte nicht antworten. Die Österreicher konnten jedenfalls nachvollziehen, dass über ihren Shop keine Kundenanfragen beantwortet worden sind.

Ratschlag für Kunden: Hirn statt Geiz!

Unser Ratschlag für Kunden ist ganz simpel und lautet "Hirn statt Geiz". Wenn ein Preis viel zu niedrig erscheint, sollte man misstrauisch werden und nicht dem Schnäppchenfieber erliegen. Findet sich dann noch ein dubioser Aufruf zur Kontaktaufnahme per E-Mail, steht ein unlauteres Vorgehen des Händlers fest und man sollte die Finger von dem vermeintlichen Schnäppchen lassen. Stattdessen sollte man Amazon kontaktieren und dabei den Link zum beanstandeten Partner-Shop übermitteln. Es bleibt zu hoffen, dass Amazon dieses Problem noch in den Griff bekommt, denn so macht der Online-Einkauf keinen Spaß.

Ratschlag für Gewerbetreibende: Keine Links anklicken

Auch für die Shop-Betreiber haben wir einen passenden Ratschlag: Schärfen Sie Ihren Mitarbeitern ein, in E-Mails niemals auf Links zu klicken, selbst wenn diese echt und vertrauenswürdig aussehen und von bekannten Absendern stammen. Stattdessen sollte man immer ein Lesezeichen verwenden oder die gewünschte URL per Hand in die Adresszeile des Browsers eingeben. Wenn es um Zugangsdaten geht, sollte man zudem sicherstellen, dass eine verschlüsselte Verbindung aufgebaut wird - also immer auf das "https" achten!
Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]
© Copyright 1998-2017 by Dipl.-Ing. Michael Doering. [ Nutzungsbedingungen ]
Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]

Ihr Homepage-Baukasten von Wix.

Einfach.
Schnell.
Ohne Vorkenntnisse.
Au-Ja Testurteil:
Sehr Gut
Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]
generated on
27.05.2017 08:38:13
by Jikji CMS 0.9.9c